Effizientes Smartcard-Management

Zu den heute wohl überzeugendsten Ansätzen, um einfach zu bedienende und sichere Verfahren für die Authentifizierung zu erhalten, gehören Smartcards.
Grundsätzlich sind die Technologien wie Zertifikatsdienste, Treiber für Smartcard-Reader oder auch Authentifizierungsfunktionen vorhanden. Doch wenn es darum geht, Smartcards im Unternehmen produktiv einzusetzen, kommen auch Anforderungen wie die Ausstellung von Ersatz- oder Reserve-Smartcards, Nachweisfunktionen über die Ausgabe von Smartcards, Schnittstellen zu spezieller Hardware für die Erstellung grösserer Mengen von Smartcards und viele weitere hinzu.

Zwischen den Smartcard-Readern auf der einen Seite, den die Smartcards nutzenden Anwendungen und den eigentlichen PKI-Diensten wird für das effiziente Management eine weitere Schicht benötigt, das Smartcard-Management. Und genau hier liegt die eigentliche Herausforderung bei der Verwendung von Smartcards.
Secude, ein Tochterunternehmen der IT SEC Swiss mit Entwicklungsstandorten in Zürich und Darmstadt, bietet mit dem TrustManager eine Lösung, die eine vereinheitlichte Nutzung unterschiedlicher Smartcards und Smartcard-Betriebssystemen ermöglicht und eine Vielzahl von Prozessen für das Smartcard-Management unterstützt.

Prozessorientiertes Management

Zu den vom Secude TrustManager unterstützten Betriebsabläufen gehören Funktionen wie das Ausstellen von Primär-, Reserve- und Ersatzkarten, das Zurücksetzen von PINs auf den Karten der Benutzer, der Ersatz von defekten Karten, der Schutz vor der Verwendung gestohlener oder verlorener Karten sowie die Kartenrückgabe. Secude verfügt über eine Vielzahl vordefinierter Prozesse, die gemeinsam mit dem Kunden nach Bedarf implementiert werden.
Zu den zusätzlichen Funktionen des Produkts, die über die Funktion vieler CAs (Certificate Authority) hinausgehen, zählt die Unterstützung für OCSP (Online Certificate Status Protocol), das eine wesentlich höhere Aktualität als die heute überwiegend verwendeten CRLs (Certificate Revocation Lists) bietet.

Die Nutzung

Bei der Installation des Produkts gab es einige kleinere Probleme, die allerdings zum überwiegenden Teil im Zusammenspiel von Windows mit den Smartcard-Readern begründet lagen. Etwas irritierend ist, dass ein einmal begonnener Installationsprozess ziemlich konsequent durchgezogen wird und das Anklicken der Schaltfläche Abbrechen weitgehend wirkungslos bleibt. Dafür funktioniert die Deinstallation sehr gut.
Die eigentliche Nutzung gestaltet sich erfreulich einfach, weil die Windows-Schnittstelle für die Administration durchdacht und einfach gestaltet ist. Tokens für unterschiedliche Funktionen lassen sich einfach erzeugen, wobei nur der Funktionsumfang verschiedener Smartcards Grenzen für den TrustManager schafft. Die standardmässigen Genehmigungsprozesse können überzeugen, ebenso wie die Funktionen für das Zurücksetzen beispielsweise von PINs, die einfach, aber dennoch sicher sind.

Integration

Nicht optimal gelöst ist bisher, im Gegensatz zur Anbindung an das Active Directory, die Verbindung zu Provisioning-Lösungen, mit denen die Bereitstellung von Smartcards in übergeordnete Benutzermanagement-Prozesse erfolgen kann. Für einige Umgebungen wie BMC Control SA gibt es Integrationslösungen. Eine Implementierung beispielsweise einer SPML-Schnittstelle fehlt. Über die APIs lassen sich aber unterschiedliche Anbindungen realisieren – nicht nur zu Provisioning-Lösungen, sondern etwa auch zu Helpdesk-Sy-
stemen. Zudem weist Secude darauf hin, dass das Smartcard-Management aus Sicherheitsgründen besonders durchdachte Prozesse benötigt, die mit den eigenen Workflow-Features, den vordefinierten Prozessen und den Administrationsschnittstellen optimal abgebildet sind.
Secude bietet mit dem TrustManager eine interessante Lösung, über die das Management von Smartcards effizient gestaltet werden kann und der man die grosse praktische Erfahrung des Unternehmens deutlich anmerkt. Wer Smartcards nutzt oder nutzen möchte, für den lohnt sich der Blick auf das Produkt in jedem Fall.